| Security |
4688 |
Process Creation |
新しいプロセスが作成されました。
- 作成元サブジェクト > セキュリティ ID: [ユーザーのSID]
- 作成元サブジェクト > アカウント名: [ユーザー名]
- 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
- 作成元サブジェクト > ログオン ID: [ログオンID]
- プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
- プロセス情報 > 新しいプロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
- プロセス情報 > プロセスのコマンド ライン: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- プロセス情報 > 作成元プロセス ID: [親プロセスID]
- プロセス情報 > 作成元プロセス名: [親プロセスのパス]
|
| Microsoft-Windows-Sysmon/Operational |
1 |
Process Create |
Process Create
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルパス]
- FileVersion・Description・Product・Company・OriginalFileName: [powershellのメタデータ]
- CommandLine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- CurrentDirectory: C:\Windows\System32\WindowsPowerShell\v1.0\
- User: [ドメイン名]\[ユーザー名]
- LogonId: [ログオンID]
- IntegrityLevel: High
- Hashes: [実行ファイルのハッシュ値]
- ParentProcessId: [親プロセスID]
- ParentImage: [親プロセスのパス]
- ParentCommandLine: [親プロセスのコマンドライン]
|
| Microsoft-Windows-PowerShell/Operational |
40961 |
PowerShell コンソールの起動 |
PowerShell コンソールを起動しています |
| Microsoft-Windows-PowerShell/Operational |
53504 |
PowerShell 名前付きパイプ IPC |
Windows PowerShell は、[アプリケーションドメイン] のプロセス [プロセスID] で IPC リッスン スレッドを開始しました。 |
| Microsoft-Windows-PowerShell/Operational |
40962 |
PowerShell コンソールの起動 |
PowerShell コンソールはユーザー入力を受け入れられるようになりました |
| Microsoft-Windows-Sysmon/Operational |
11 |
File created |
File created
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- TargetFilename: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp
- CreationUtcTime: [ファイル作成日時(UTC)]
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData を含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で複製されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Microsoft-Windows-Sysmon/Operational |
2 |
File System |
File creation time changed.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- TargetFilename: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].temp
- CreationUtcTime: [変更後のタイムスタンプ (UTC)]
- PreviousCreationUtcTime: [変更前のタイムスタンプ (UTC)]
|
| Security |
4670 |
Authorization Policy Change |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: S-1-5-18
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: Token
- オブジェクト > オブジェクト名: -
- オブジェクト > ハンドル ID: [直前のイベント4656で複製されたハンドル]
- アクセス許可の変更 > 元のセキュリティ記述子: D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;[SID])
- アクセス許可の変更 > 新しいセキュリティ記述子: D:ARAI(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;[SID])(A;ID;FA;;;SY)(A;ID;FA;;;BA)(A;ID;FA;;;[SID])
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].customDestinations-ms
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData を含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].customDestinations-ms
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で複製されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[文字列].customDestinations-ms~[文字列].TMP
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData を含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で複製されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: SYNCHRONIZE, WriteDataまたはAddFile を含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: SYNCHRONIZE, WriteDataまたはAddFile
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で複製されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[英数].customDestinations-ms~[英数].TMP
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: DELETEを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\CustomDestinations\[英数].customDestinations-ms~[英数].TMP
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4660 |
File System |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:Windows\Explorer.EXE
- TargetObject: \REGISTRY\USER\[ユーザーSID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Search\JumplistData\{[GUID]}\WindowsPowerShell\v1.0\powershell.exe
- Details: [レジストリに書き込まれた設定値 (QWORD)]
|
| Microsoft-Windows-Sysmon/Operational |
10 |
Process accessed |
Process accessed.
- UtcTime: [発生日時(UTC)]
- SourceProcessId: [アクセス元プロセスID]
- SourceThreadId: [アクセス元スレッドID]
- SourceImage: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- TargetProcessId: [アクセス先プロセスID]
- TargetImage: C:\Windows\Explorer.EXE
- GrantedAccess: [許可されたアクセスの内容]
|
| Security |
4703 |
Token Right Adjusted Events |
ユーザー権限が調整されました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- ターゲット アカウント > セキュリティ ID: [対象のユーザーSID]
- ターゲット アカウント > アカウント名: [ユーザー名]
- ターゲット アカウント > アカウント ドメイン: [ドメイン名]
- ターゲット アカウント > ログオン ID: [対象ユーザーのセッションID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- プロセス情報 > プロセス ID: [実行プロセスID]
- 有効にされた特権: SeDebugPrivilege
- 無効にされた特権: -
|
| Security |
4673 |
Sensitive Privilege Use |
特権のあるサービスが呼び出されました。
- サブジェクト > セキュリティ ID: [実行したユーザーSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン]
- サブジェクト > ログオン ID: [ログオンID]
- サービス > サーバー: Security
- サービス > サービス名: -
- サービス要求情報 > 特権: SeCreateGlobalPrivilege
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Local\Temp\[文字列].ps1
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile を含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Local\Temp\[文字列].ps1
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: DELETE を含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Local\Temp\[文字列].ps1
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4660 |
File System |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: DELETEを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\Administrator\AppData\Local\Temp\[文字列].psm1
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: DELETE
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4660 |
File System |
オブジェクトが削除されました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Microsoft-Windows-Sysmon/Operational |
13 |
Registry value set |
Registry value set
- EventType: SetValue
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:Windows\Explorer.EXE
- TargetObject: \REGISTRY\USER\[SID]\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{[GUID]}\Count\{[GUID]}\JvaqbjfCbjreFuryy\i1.0\cbjrefuryy.rkr
- Details: Binary Data
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Windows\Prefetch\POWERSHELL.EXE-[文字列].pf
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
|
| Microsoft-Windows-PowerShell/Operational |
4104 |
リモート コマンドを実行します |
Scriptblock テキストを作成しています
- Message: 実行されたスクリプトの内容。実行されたPowerShellスクリプトの内容が、そのまま記録される
|
| Microsoft-Windows-Sysmon/Operational |
2 |
File System |
File creation time changed.
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: [実行ファイルのパス]
- TargetFilename: [変更されたファイルの名前]
- CreationUtcTime: [変更後のタイムスタンプ (UTC)]
- PreviousCreationUtcTime: [変更前のタイムスタンプ (UTC)]
|
| Microsoft-Windows-WinRM/Operational |
29 |
WSMan API Initialize |
WSMan API の初期化が正常に完了しました |
| Microsoft-Windows-WinRM/Operational |
6 |
WSMan Session initialize |
WSMan セッションを作成しています。 接続文字列は [接続先ホスト] です |
| Microsoft-Windows-WinRM/Operational |
31 |
WSMan Session initialize |
WSMan セッションの作成操作が正常に完了しました |
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (34) - WSMAN_OPTION_USE_INTEARACTIVE_TOKEN に値 ([値]) を正常に設定しました。
- optionCode: 34
- optionName: WSMAN_OPTION_USE_INTEARACTIVE_TOKEN
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (26) - WSMAN_OPTION_UI_LANGUAGE に値 ([値]) を正常に設定しました。
- optionCode: 26
- optionName: WSMAN_OPTION_UI_LANGUAGE
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (25) - WSMAN_OPTION_LOCALE に値 ([値]) を正常に設定しました。
- optionCode: 25
- optionName: WSMAN_OPTION_LOCALE
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (1) - WSMAN_OPTION_DEFAULT_OPERATION_TIMEOUTMS に値 ([値]) を正常に設定しました。
- optionCode: 1
- optionName: WSMAN_OPTION_DEFAULT_OPERATION_TIMEOUTMS
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (12) - WSMAN_OPTION_TIMEOUTMS_CREATE_SHELL に値 ([値]) を正常に設定しました。
- optionCode: 12
- optionName: WSMAN_OPTION_TIMEOUTMS_CREATE_SHELL
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (17) - WSMAN_OPTION_TIMEOUTMS_CLOSE_SHELL に値 ([値]) を正常に設定しました。
- optionCode: 17
- optionName: WSMAN_OPTION_TIMEOUTMS_CLOSE_SHELL
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (16) - WSMAN_OPTION_TIMEOUTMS_SIGNAL_SHELL に値 ([値]) を正常に設定しました。
- optionCode: 16
- optionName: WSMAN_OPTION_TIMEOUTMS_SIGNAL_SHELL
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
11 |
WSMan API call |
WSMan シェルをリソース URI http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd および ShellId Unspecified で作成しています
- resourceUri: http://schemas.microsoft.com/wbem/wsman/1/windows/shell/cmd
- shellId: Unspecified
|
| Microsoft-Windows-WinRM/Operational |
10 |
WSMan API call |
WSMan セッションのオプション (28) - WSMAN_OPTION_MAX_ENVELOPE_SIZE_KB に値 ([値]) を正常に設定しました。
- optionCode: 28
- optionName: WSMAN_OPTION_MAX_ENVELOPE_SIZE_KB
- optionValue: [値]
|
| Microsoft-Windows-WinRM/Operational |
13 |
WSMan API call |
CommandId Unspecified の WSMan コマンドを実行しています |
| Microsoft-Windows-PowerShell/Operational |
8193 |
接続 |
Runspace オブジェクトを作成しています
- InstanceId: b03934d2-133f-422c-941f-92b21866f2c1
|
| Microsoft-Windows-PowerShell/Operational |
8194 |
接続 |
RunspacePool オブジェクトを作成しています
- InstanceId: [オブジェクトのインスタンスID]
- MaxRunspaces: [値]
- MinRunspaces: [値]
|
| Microsoft-Windows-PowerShell/Operational |
8195 |
接続 |
RunspacePool を開いています |
| Microsoft-Windows-PowerShell/Operational |
8197 |
接続 |
実行空間の状態が Opening に変更されました |
| Microsoft-Windows-PowerShell/Operational |
8196 |
なし |
活動 ID を変更し、関連付けています |
| Microsoft-Windows-PowerShell/Operational |
12039 |
なし |
活動 ID を変更し、関連付けています |
| Microsoft-Windows-PowerShell/Operational |
8196 |
なし |
活動 ID を変更し、関連付けています |
| Microsoft-Windows-PowerShell/Operational |
12039 |
なし |
活動 ID を変更し、関連付けています |
| Microsoft-Windows-PowerShell/Operational |
8196 |
なし |
活動 ID を変更し、関連付けています |
| Microsoft-Windows-PowerShell/Operational |
12039 |
なし |
活動 ID を変更し、関連付けています |
| Microsoft-Windows-PowerShell/Operational |
8197 |
接続 |
実行空間の状態が Opened に変更されました |
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
- オブジェクト > ハンドル ID: [当該ハンドルの識別ID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFile
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [実行ユーザーのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: False
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [ドメインコントローラーIPアドレス]
- DestinationHostname: [ドメインコントローラーホスト名]
- DestinationPort: 88
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\lsass.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: False
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [ドメインコントローラーIPアドレス]
- DestinationHostname: [ドメインコントローラーホスト名]
- DestinationPort: 88
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\lsass.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [プロセスID]
- Image: C:\Windows\System32\lsass.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: False
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [ドメインコントローラーIPアドレス]
- DestinationHostname: [ドメインコントローラーホスト名]
- DestinationPort: 88
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\lsass.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\lsass.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
- ネットワーク情報 > 宛先アドレス: [ドメインコントローラーIPアドレス]
- ネットワーク情報 > 宛先ポート: 88
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: False
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 5985
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 5985
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: False
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 5985
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 5985
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: False
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 5985
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 5985
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
3 |
Network connection detected |
Network connection detected
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- User: NT AUTHORITY\SYSTEM
- Protocol: tcp
- Initiated: False
- SourceIp: [接続元IPアドレス]
- SourceHostname: [接続元ホスト名]
- SourcePort: [接続元ポート番号]
- DestinationIp: [接続先IPアドレス]
- DestinationHostname: [接続先ホスト名]
- DestinationPort: 5985
|
| Security |
5158 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
- アプリケーション情報 > プロセス ID: [プロセスID]
- アプリケーション情報 > アプリケーション名: \device\harddiskvolume2\windows\system32\windowspowershell\v1.0\powershell.exe
- ネットワーク情報 > ソース ポート: [送信元ポート番号]
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Security |
5156 |
Filtering Platform Connection |
Windows フィルターリング プラットフォームで、接続が許可されました。
- アプリケーション情報 > プロセス ID: [実行プロセスID]
- アプリケーション情報 > アプリケーション名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- ネットワーク情報 > 方向: 送信
- ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
- ネットワーク情報 > ソース ポート: [直前のイベント5158でバインドしたポート]
- ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
- ネットワーク情報 > 宛先ポート: 5985
- ネットワーク情報 > プロトコル: 6 (TCP)
|
| Microsoft-Windows-Sysmon/Operational |
12 |
Registry object added or deleted |
Registry object added or deleted
- EventType: CreateKey
- UtcTime: [発生日時(UTC)]
- ProcessId: [実行プロセスID]
- Image: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
- TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters
|
| Microsoft-Windows-WinRM/Operational |
15 |
WSMan API call |
WSMan コマンドを閉じています |
| Microsoft-Windows-WinRM/Operational |
16 |
WSMan API call |
シェルを閉じています |
| Microsoft-Windows-WinRM/Operational |
8 |
WSMan セッションの初期化解除 |
WSMan セッションを閉じています。 |
| Microsoft-Windows-WinRM/Operational |
4 |
WSMan APIの初期化解除 |
WSMan API を初期化解除しています |
| Microsoft-Windows-WinRM/Operational |
30 |
WSMan API の初期化解除 |
WSMan API の初期化解除が正常に完了しました |
| Microsoft-Windows-WinRM/Operational |
33 |
WSMan セッションの初期化 |
WSMan セッションを閉じる操作が正常に完了しました |
| Microsoft-Windows-PowerShell/Operational |
8196 |
なし |
活動 ID を変更し、関連付けています |
| Microsoft-Windows-PowerShell/Operational |
12039 |
なし |
活動 ID を変更し、関連付けています
生 |
| Microsoft-Windows-PowerShell/Operational |
8197 |
接続 |
実行空間の状態が [状態] に変更されました |
| Microsoft-Windows-PowerShell/Operational |
8197 |
接続 |
実行空間の状態が [状態] に変更されました |
| Security |
4656 |
File System |
オブジェクトに対するハンドルが要求されました。
- サブジェクト > セキュリティ ID: [ユーザのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive
- オブジェクト > ハンドル ID: [ハンドルID]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4663 |
File System |
オブジェクトへのアクセスが試行されました。
- サブジェクト > セキュリティ ID: [ユーザのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > オブジェクトの種類: File
- オブジェクト > オブジェクト名: C:\Users\[ユーザー名]\AppData\Local\Microsoft\Windows\PowerShell\StartupProfileData-Interactive
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- アクセス要求情報 > アクセス: WriteDataまたはAddFileを含む
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|
| Security |
4658 |
File System |
オブジェクトに対するハンドルが閉じました。
- サブジェクト > セキュリティ ID: [ユーザのSID]
- サブジェクト > アカウント名: [ユーザー名]
- サブジェクト > アカウント ドメイン: [ドメイン名]
- サブジェクト > ログオン ID: [ログオンID]
- オブジェクト > オブジェクト サーバー: Security
- オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
- プロセス情報 > プロセス ID: [実行プロセスID]
- プロセス情報 > プロセス名: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
|